Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3854 PDF
3854 PDF
CONPES
CONSEJO NACIONAL DE POLÍTICA E CONÓMICA Y SOCIAL
3854
REPÚBLICA DE COLOMBIA
DEPARTAMENTO NACIONAL DE PLANEACIÓN
Versión aprobada
2
Resumen ejecutivo
Es precisamente por esto que la política nacional de seguridad digital, objeto de este
documento, cambia el enfoque tradicional al incluir la gestión de riesgo como uno de los
elementos más importantes para abordar la seguridad digital. Esto lo hace bajo cuatro
principios fundamentales y cinco dimensiones estratégicas, que rigen el desarrollo de esta
política. De los primeros destaca que la política nacional de seguridad digital debe involucrar
activamente a todas las partes interesadas, y asegurar una responsabilidad compartida entre
las mismas. Principios que se reflejan en las dimensiones en las que esta política actuará, las
cuales determinan las estrategias para alcanzar su objetivo principal: fortalecer las
capacidades de las múltiples partes interesadas, para identificar, gestionar, tratar y mitigar
los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital.
Para lograrlo, se implementarán acciones en torno a cinco ejes de trabajo.
3
último, se generarán mecanismos permanentes para impulsar la cooperación, colaboración
y asistencia en materia de seguridad digital, a nivel nacional e internacional, con un enfoque
estratégico.
Para poner en marcha esta política, se ha construido un plan de acción que se ejecutará
durante los años 2016 a 2019 con una inversión total de 85.070 millones de pesos. Las
principales entidades ejecutoras de esta política son el Ministerio de Tecnologías de la
Información y las Comunicaciones, el Ministerio de Defensa Nacional, la Dirección Nacional
de Inteligencia y el Departamento Nacional de Planeación.
4
T ABLA DE CONTENIDO
1. INTRODUCCIÓN .......................................................................................... 9
5.3.2. Crear las condiciones para que las múltiples partes interesadas gestionen el riesgo
de seguridad digital en sus actividades socioeconómicas y se genere confianza en
el uso del entorno digital .............................................................................. 53
5.3.3. Fortalecer la seguridad de los individuos y del Estado en el entorno digital, a nivel
nacional y trasnacional, con un enfoque de gestión de riesgos ......................... 57
5
5.3.4. Fortalecer la defensa y soberanía nacional en el entorno digital con un enfoque de
gestión de riesgos ........................................................................................ 60
ANEXOS ....................................................................................................... 70
Anexo A: Plan de Acción y Seguimiento (PAS)............................................................. 70
Anexo B: Análisis comparativo de estrategias y políticas de seguridad digital expedidas en
2015 en cinco países................................................................................... 71
Anexo C: Normativa nacional relacionada con asuntos de seguridad digital .................. 73
Anexo D: Normativa internacional relacionada con asuntos de seguridad digital ............ 79
Anexo E: Estimación del impacto económico de la adopción e implementación de la política
nacional de seguridad digital para Colombia ................................................. 81
GLOSARIO ..................................................................................................... 87
BIBLIOGRAFÍA ................................................................................................. 89
6
ÍNDICE DE TABLAS
Tabla 1. Proyecciones de algunos indicadores de uso de las TIC a nivel global .............. 11
Tabla 2. Grandes casos de ataque cibernéticos en el mundo en el 2014 ....................... 12
Tabla 3. Uso de Internet en Colombia por rangos de edad, 2010-2014 ........................ 35
Tabla 4. Frecuencia de uso del Internet en Colombia, 2010-2014................................. 35
Tabla 5. Hogares con conexión a Internet, por tipo de conexión, 2010-2014 ................ 36
Tabla 6. Uso de Internet en Colombia según actividad, 2010-2014 .............................. 36
Tabla 7. Denuncias procesadas por la iniciativa Te Protejo en Colombia, ...................... 38
Tabla 8. Impacto económico esperado de la implementación de la política nacional de
seguridad digital en Colombia ................................................................................... 65
Tabla 9. Cronograma de seguimiento ......................................................................... 66
Tabla 10. Financiamiento estimado, 2016-2019 ......................................................... 67
ÍNDICE DE GRÁFICOS
Gráfico 1. Evolución de conexiones de banda ancha en Colombia ............................... 30
Gráfico 2. Sectores afectados en Colombia por incidentes digitales, 2015 .................... 32
Gráfico 3. Incidentes digitales gestionados por CCP y CSIRT PONAL en el entorno digital
en Colombia, 2015 .................................................................................................. 39
Gráfico 4. Capturas y denuncias de incidentes digitales en Colombia, 2015 ................. 40
Gráfico 5. Incidentes digitales gestionados por el CCOC y el colCERT en el entorno digital
en Colombia, 2015 .................................................................................................. 45
ÍNDICE DE FIGURAS
Figura 1. Modelo de gestión sistemática y cíclica de riesgo de seguridad digital ............ 27
Figura 2. Nivel de madurez del marco jurídico y reglamentario de seguridad cibernética en
Colombia, 2015 ...................................................................................................... 43
7
SIGLAS Y ABREVIACIONES
8
1. INTRODUCCIÓN
1
Como ejemplo, según la Superintendencia Financiera de Colombia (2015), el número de operaciones
financieras (monetarias y no monetarias) en Colombia mediante el canal Internet aumentó en un 45% de 2012 a
2014 y mediante el canal Telefonía móvil en un 252%. En el primer semestre de 2015, el sistema financiero
colombiano realizó 2.026 millones de operaciones por 3.237,8 billones de pesos, de los cuales mediante el
canal Internet se realizaron 863 millones de operaciones (un 43% del total) por valor de 1.092,61 billones de
pesos (un 34% del total).
2
Según el Programa Gobierno en línea del Ministerio de Tecnologías de la Información y las Comunicaciones,
el porcentaje de ciudadanos colombianos que usan canales o medios electrónicos para (i) obtener información,
(ii) realizar trámites, (iii) obtener servicios, (iv) presentar peticiones, quejas o reclamos, o (v) participar en la toma
de decisiones, pasó del 30% en 2009 al 65% en 2014. Lo mismo sucedió con las empresas colombianas,
pasando del 24% en 2009 al 81% en 2014. Adicionalmente, por medio del portal del Estado colombiano se
realizaron 1.038 trámites en línea en el 2015.
3
Disponible en: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf
9
y nacional, la investigación y desarrollo, y la innovación. Adicionalmente, amplía la
población objetivo, del Estado (política de ciberseguridad y ciberdefensa) a todos los
ciudadanos, sectores económicos y organizaciones (múltiples partes interesadas4). Lo
anterior, reconociendo la necesidad de diferenciar los objetivos de ciberseguridad y
ciberdefensa, de los de prosperidad económica y social, y fortaleciendo este último.
2. ANTECEDENTES Y JUSTIFICACIÓN
La rápida evolución y adopción de las TIC como base para cualquier actividad
socioeconómica, el creciente uso de las mismas por toda la sociedad, la rápida expansión
de las redes de telecomunicaciones, y el fenómeno de convergencia6, han marcado la
dinámica del sector de las TIC y las economías de los países durante los últimos años (UIT,
2015); y la seguirán marcando, ya que las tendencias internacionales muestran que el
entorno digital es dinámico y crece continuamente (Tabla 1). Entorno donde se ha
consolidado una economía basada en tecnologías (economía digital), cuya evolución y
maduración genera impactos positivos en todos los ámbitos de la sociedad y en todos los
4
En la sección 3.1 del documento se define este término.
5
En el glosario del documento se define este término.
6
Evolución tecnológica que consiste en suministrar todos los servicios de comunicaciones por la red de Internet.
10
sectores económicos que han estado a la vanguardia de esta tendencia para lograr mayor
conocimiento de sus clientes, mayor productividad, competitividad y creación de nuevos
modelos de negocio (CEPAL, 2014).
Incremento
Proyecciones 2015 2020
porcentual
Más usuarios de banda ancha
3 mil millones 4 mil millones 33%
móvil
Más terminales conectados 16,3 mil millones 24,4 mil millones 49%
Más datos generados 8,8 zettabytes 44 zettabytes 400%
No obstante lo anterior, la creciente relevancia del entorno digital sobre las actividades
socioeconómicas, y su alto dinamismo, ha traído consigo un conjunto de incertidumbres,
riesgos, amenazas, vulnerabilidades e incidentes de diversos tipos7, a los que se encuentran
expuestos los individuos y las organizaciones, públicas y privadas. La Tabla 2 resume algunos
casos relevantes sobre ataques cibernéticos en el mundo durante el 2014, en donde se puede
apreciar que estos afectan a cualquier sector de la economía, con consecuencias que pueden
impactar de manera negativa a millones de personas en el mundo, a la defensa y seguridad
nacional y, en consecuencia, a la prosperidad económica y social.
Previendo esta realidad mundial, y en vista de los ataques cibernéticos que sufrían
diferentes países del mundo en la década pasada, y del incremento en el uso de las TIC en
Colombia durante ese tiempo; en el 2011, el Gobierno nacional de Colombia estableció los
lineamientos de política para ciberseguridad y ciberdefensa. Política que se presenta
7
Los incidentes digitales se basan, generalmente, en algún software malintencionado, diseñado para perjudicar
o hacer un uso no lícito de los sistemas de información de las organizaciones. En particular, el malware (término
compuesto en inglés -malicious software- para llamar a cualquier software malicioso) es un tipo de software que
tiene como propósito infiltrarse y dañar un terminal o un sistema de información sin el consentimiento de sus
propietarios. Los tipos de amenazas cibernéticas más comunes alrededor del mundo en 2014 y 2015, fueron los
troyanos (en inglés, trojans), los gusanos (en inglés, worms) y los virus (en inglés, viruses) (ISS, 2014). También
se destaca el malware de suplantación de identidad (en inglés, phishing) caracterizado por intentar adquirir
información confidencial de forma fraudulenta.
11
brevemente en la siguiente sección, junto con sus principales logros y las actividades de
revisión realizadas a la fecha.
Organización
Sector Impacto
afectada
4,5 millones de nombres y números móviles
Snapchat Red social
comprometidos
Kickstarter Crowd funding 5,6 millones de víctimas
Korean Telecom Telecomunicaciones 12 millones de suscriptores comprometidos
Heartbleed Software Primera de tres vulnerabilidades de fuente abierta
Base de datos de 145 millones de compradores
Ebay Compras
comprometida
PF chang´s Comidas Más alta violación de información de alto nivel del mes
Energetic bear Energía Operación de ciberespionaje a la industria de energía
Cybervor Tecnología 1,2 billones de credenciales comprometidas
iCloud Entretenimiento Cuentas de celebridades comprometidas
Sandworm Tecnología Ataque cibernético a la vulnerabilidad de Windows
Sony Pictures Entretenimiento Más alta violación de alto nivel del año
Inception
Sector público Operación de ciberespionaje a sector público
Framework
Fuente: Adaptado de Verizon (2015).
Con el fin de abordar las incertidumbres, los riesgos, las amenazas, las
vulnerabilidades y los incidentes digitales, en el 2011, el Gobierno nacional expidió el
Documento CONPES 3701 Lineamientos de política para ciberseguridad y ciberdefensa8.
Esta política concentró los esfuerzos del país en contrarrestar el incremento de las amenazas
informáticas que lo afectaban significativamente9, y en desarrollar un marco normativo e
institucional para afrontar retos en aspectos de seguridad cibernética. A continuación se
presentan de manera general los avances en la implementación de dichos lineamientos de
política, y las actividades de revisión de los mismos durante los años 2014 y 2015.
8
Disponible en: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf
9
Un caso a resaltar fue el ocurrido durante el primer semestre de 2011, cuando el grupo hacktivista
autodenominado Anonymous atacó a los portales de la Presidencia de la República, el Senado de la República,
Gobierno en línea y de los Ministerios del Interior, de Justicia, de Cultura y de Defensa, dejando fuera de servicio
sus páginas web por varias horas (DNP, 2011).
12
El objetivo general del Documento CONPES 3701 fue fortalecer las capacidades del
Estado para enfrentar las amenazas que atentan contra la defensa y seguridad nacional en
el ámbito cibernético (ciberseguridad y ciberdefensa)10, creando un ambiente y unas
condiciones para brindar protección en el ciberespacio. Para cumplir este objetivo general,
se formularon tres objetivos específicos: (i) implementar instancias apropiadas para prevenir,
coordinar, atender, controlar, generar recomendaciones y regular los incidentes o
emergencias cibernéticas para afrontar las amenazas y los riesgos que atentan contra la
ciberseguridad y ciberdefensa nacional; (ii) brindar capacitación especializada en seguridad
de la información y ampliar las líneas de investigación en ciberdefensa y ciberseguridad; y
(iii) fortalecer la legislación en materia de ciberseguridad y ciberdefensa, la cooperación
internacional y adelantar la adhesión de Colombia a los diferentes instrumentos
internacionales en esta temática.
Institucionalidad
10
El Documento CONPES 3701 definió Ciberseguridad como la capacidad del Estado para minimizar el nivel
de riesgo al que están expuestos sus ciudadanos, ante amenazas o incidentes de naturaleza cibernética; y
Ciberdefensa como la capacidad del Estado para prevenir y contrarrestar toda amenaza o incidente de naturaleza
cibernética que afecte la soberanía nacional.
13
las Unidades cibernéticas del Ejército Nacional, la Armada Nacional y la Fuerza Aérea
Colombiana.
Capacitación
Legislación
11
Por el cual se crea la Comisión Nacional Digital y de Información Estatal.
14
la regulación sobre protección contra la explotación, la pornografía, el turismo sexual y
demás formas de abuso sexual a menores de edad.
Cooperación y posicionamientointernacional
12
Por la cual se dictan disposiciones generales para la protección de datos personales.
13
El 11 de septiembre de 2013, como resultado del análisis de la normatividad de Colombia en materia de
delito cibernético, el Consejo de Ministros del Consejo de Europa dio su aprobación para invitar a Colombia a
adherirse a la Convención sobre delito cibernético. En esa oportunidad, también se abrió la puerta para que
fuera parte de su Protocolo adicional relativo a la penalización de actos de índole racista y xenófoba cometidos
por medio de sistemas informáticos. A partir de tal decisión, Colombia tiene un máximo de cinco años para
adherir al instrumento internacional.
15
cibernéticos. Estas alianzas también se han fortalecido en el contexto local con actores de la
industria nacional.
Otro aspecto a resaltar, es que Colombia cuenta con ocho CSIRT con membresía en el
Foro de equipos de seguridad y respuesta de incidentes, llamado FIRST14 por sus siglas en
inglés. Esto les permite responder de manera más eficaz a incidentes de seguridad, al tener
acceso a información acerca de las mejores prácticas, ser invitados a eventos y a
capacitaciones y cursos relacionados con la seguridad digital.
En el ámbito regional, Colombia se ha posicionado como uno de los países que más
ha avanzado en aspectos relacionados con ciberseguridad y ciberdefensa. Lo anterior, se
refleja en indicadores de eficiencia comparativa como el índice mundial de ciberseguridad
de la Unión Internacional de Telecomunicaciones (UIT). Según este, en 2014 el país se
ubicaba en el quinto lugar del ranking a nivel regional, siendo superado por Estados Unidos,
Canadá, Brasil y Uruguay; mientras que en el plano mundial comparte la novena posición,
junto con países como Dinamarca, Egipto, Francia y España.
14
FIRST es la principal organización mundial y líder reconocido en respuesta a incidentes digitales. Cuenta con
más de 300 miembros, repartidos en África, América, Asia, Europa y Oceanía. Este foro reúne una variedad de
equipos de respuesta a incidentes del gobierno, industria y academia, y tiene como objetivo fomentar la
cooperación y la coordinación en la prevención de incidentes, para estimular la reacción rápida ante los mismos,
y para promover el intercambio de información entre los miembros y la comunidad en general.
16
2.1.1. Revisión y evaluación de los lineamientos de política
17
conocimiento de la situación actual; (iv) resiliencia, recuperación y respuesta; y (v) efectiva
cooperación e intercambio de información (OEA, 2014).
Según UIT (2011), las medidas para gestionar los riesgos en el entorno digital deben
tener en cuenta la salvaguarda de los derechos humanos y de los valores nacionales. Lo
anterior, debido a que en el entorno digital aplican reglas sociales básicas, de tal forma que
los derechos humanos y valores nacionales se extienden a dicho entorno, y se deben
considerar las consecuencias (positivas o negativas) sobre estos al definir las medidas de
seguridad digital. Medidas que según los estudios en discusión deben afectar positivamente
el desarrollo de actividades socioeconómicas en el entorno digital.
15
El marco técnico de referencia lo componen los siguientes documentos: UIT (2011), OTAN (2012), OEA,
(2014a), OEA (2015a), OCDE (2015b), ITI (2011) e ITI (2012).
19
Se pasó del diseño de estrategias de ciberseguridad y ciberdefensa, que se centran
principalmente en objetivos de defensa y seguridad nacional en el entorno digital, hacia el
diseño de estrategias integrales con un conjunto de principios que se enmarca en la gestión
de riesgos de seguridad digital. Lo anterior, se hace distinguiendo los objetivos de
prosperidad económica y social de los objetivos de defensa del país, de lucha contra el
crimen y contra la delincuencia en este entorno. Es el caso de República Checa, Islandia,
Portugal, Malta, Irlanda y Francia. Países que actualizaron sus estrategias nacionales en el
2015, siendo Francia el único país que actualizó su política después (19/10/2015) de que
la OCDE emitiera recomendaciones sobre la gestión de riesgos de seguridad digital
(17/09/2015).
20
76 que establece que el espectro electromagnético es un bien público inajenable e
imprescriptible sujeto a la gestión y control del Estado; (iii) el artículo 101 que incluye al
espectro electromagnético como parte del territorio colombiano; o (iv) el artículo 217 que
establece que las Fuerzas Militares tendrán como finalidad primordial la defensa de la
soberanía, la independencia, la integridad del territorio nacional y del orden constitucional,
entre otros.
Frente a las leyes de carácter ordinario, adicionalmente existen varios instrumentos que
regulan diversos temas asociados con la seguridad digital, de manera compleja y dispersa.
Temas como el comercio electrónico, la pornografía y la explotación sexual de menores en
el ciberespacio, la racionalización de trámites y procedimientos, los derechos de autor y
conexos, entre otros.
16
Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de
la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las
tecnologías de la información y las comunicaciones, entre otras disposiciones.
17
Por medio de la cual se reforma el Código Penal, el Código de Procedimiento Penal, el Código de Infancia y
Adolescencia, las reglas sobre extinción de dominio y se dictan otras disposiciones en materia de seguridad.
21
El Anexo C presenta una descripción del marco normativo nacional.
Entre los instrumentos internacionales que tienen relación con la seguridad digital se
encuentran el Convenio sobre Ciberdelincuencia del Consejo de Europa (conocido como el
convenio sobre Cibercriminalidad de Budapest) mediante el cual se adopta una legislación
que facilita la prevención de las conductas delictivas y contribuye con herramientas eficientes
en materia penal que permitan detectar, investigar y sancionar las conductas antijurídicas.
También destaca la Resolución AG /RES 2004 (XXXIV-O/04) de la Asamblea General de la
OEA, mediante la cual se establece una estrategia integral para combatir las amenazas a la
seguridad cibernética con un enfoque multidimensional y multidisciplinario, para la creación
de una cultura de la seguridad cibernética, y la Decisión 587 de la Comunidad Andina por
la cual se establecen los lineamientos de la Política de seguridad externa común andina.
Esta sección también permitió evidenciar que Colombia dispone de un marco normativo
nacional disperso en torno a la seguridad digital que comprende leyes, decretos y otros actos
expedidos bajo condiciones diferentes a las actuales. Teniendo en cuenta todo lo anterior, se
22
hace necesario plantear una nueva política nacional de seguridad digital que responda a los
retos actuales, fomente el crecimiento de la economía digital e incorpore los elementos que
nos permitan continuar siendo parte de los países líderes en el tema.
3. MARCO CONCEPTUAL
En primer lugar, esta sección expone los conceptos básicos sobre la seguridad digital.
Paso seguido, describe las características generales que debe tener una estrategia de gestión
de riesgos de seguridad digital según las mejores prácticas internacionales; y finalmente, a
partir de estas y teniendo en cuenta el contexto nacional, establece los principios y
dimensiones estratégicas que definen la política nacional de seguridad digital en el país.
23
debería abordarse como un riesgo económico que debe gestionarse en cualquier proceso de
toma de decisiones.
24
La OCDE propone los siguientes principios generales:
Cooperación: las múltiples partes interesadas deben cooperar, incluso más allá de sus
fronteras, a nivel regional e internacional.
25
Innovación: los líderes y tomadores de decisiones deben asegurarse de que la
innovación sea considerada como parte integral de la reducción del riesgo de
seguridad digital. Esta debe fomentarse tanto en el diseño y funcionamiento de la
economía, y de las actividades sociales basadas en el entorno digital, como en el
diseño y el desarrollo de las medidas de seguridad.
Preparación y continuidad: con el fin de reducir los efectos adversos de los incidentes
de seguridad, y apoyar la continuidad y la capacidad de recuperación de las
actividades económicas y sociales, deben adoptarse preparaciones y planes de
continuidad. El plan debe identificar las medidas para prevenir, detectar, responder y
recuperarse de los incidentes y proporcionar mecanismos claros de escalamiento.
Así las cosas, la política nacional de seguridad digital: (i) adoptará la gestión
sistemática y cíclica del riesgo; (ii) será liderada desde el alto nivel del gobierno; (iii)
asegurará la defensa y seguridad nacional; (iv) estimulará la prosperidad económica y social;
(v) adoptará un enfoque multidimensional, es decir, la seguridad digital será abordada tanto
desde la dimensión técnica o jurídica, como desde la dimensión económica y social; (vi)
tendrá en cuenta a las múltiples partes interesadas; (vii) promoverá la responsabilidad
compartida; (viii) salvaguardará los derechos humanos; (ix) protegerá los valores nacionales;
y (x) concientizará y educará.
27
Para garantizar lo anterior, y en línea con los principios recomendados por la OCDE, la
política nacional de seguridad digital, objeto de este documento, se regirá por cuatro
principios fundamentes (PF) definidos de acuerdo al contexto nacional.
PF1. Salvaguardar los derechos humanos y los valores fundamentales de los ciudadanos en
Colombia, incluyendo la libertad de expresión, el libre flujo de información, la
confidencialidad de la información y las comunicaciones, la protección de la intimidad
y los datos personales y la privacidad, así como los principios fundamentales
consagrados en la Constitución Política de Colombia. En caso de limitación a estos
derechos, debe ser bajo medidas excepcionales y estar conforme con la Constitución
Política y los estándares internacionales aplicables. Estas medidas, deben ser
proporcionales, necesarias y estar enmarcadas en la legalidad.
PF2. Adoptar un enfoque incluyente y colaborativo que involucre activamente a las múltiples
partes interesadas, y que permita establecer condiciones para el desarrollo eficiente de
alianzas, con el fin de promover la seguridad digital del país y sus habitantes, y
aumentar la capacidad de resiliencia nacional frente a eventos no deseados en el
entorno digital.
PF3. Asegurar una responsabilidad compartida entre las múltiples partes interesadas,
promoviendo la máxima colaboración y cooperación. Lo anterior, teniendo en cuenta
el rol y el grado de responsabilidad de cada parte para gestionar los riesgos de
seguridad digital y para proteger el entorno digital.
PF4. Adoptar un enfoque basado en la gestión de riesgos, que permita a los individuos el
libre, seguro y confiable desarrollo de sus actividades en el entorno digital. Lo anterior,
fomentará la prosperidad económica y social, buscando la generación de riqueza,
innovación, productividad, competitividad, y empleo en todos los sectores de la
economía.
DE2. Marco legal y regulatorio de la seguridad digital: marco legal y regulatorio que soporta
todos los aspectos necesarios para adelantar la política.
28
DE3. Gestión sistemática y cíclica del riesgo de seguridad digital: conjunto de iniciativas,
procedimientos o metodologías coordinadas con el fin de abordar, de manera cíclica
y holística, los riesgos de seguridad digital en el país.
DE4. Cultura ciudadana para la seguridad digital: sensibilización de las múltiples partes
interesadas, para crear y fomentar una cultura ciudadana responsable en la seguridad
digital.
Infraestructura crítica cibernética nacional: aquella soportada por las TIC y por las
tecnologías de operación, cuyo funcionamiento es indispensable para la prestación de
servicios esenciales para los ciudadanos y para el Estado. Su afectación, suspensión o
destrucción puede generar consecuencias negativas en el bienestar económico de los
ciudadanos, o en el eficaz funcionamiento de las organizaciones e instituciones, así
como de la administración pública.
29
4. DIAGNÓSTICO
2010-2T
2010-3T
2010-4T
2011-1T
2011-2T
2011-3T
2011-4T
2012-1T
2012-2T
2012-3T
2012-4T
2013-1T
2013-2T
2013-3T
2013-4T
2014-1T
2014-2T
2014-3T
2014-4T
2015-1T
Fuente: Ministerio de Tecnologías de la Información y las Comunicaciones, 2015.
El mayor número de conexiones a Internet se explica, en parte, (i) por el hecho de que
actualmente están conectados a la red troncal de fibra óptica19 1.078 de los 1.123
municipios del país; (ii) por la instalación de 899 centros de acceso comunitario urbanos
(Puntos Vive Digital) para dar formación en el uso de Internet a personas de estratos 1 y 2 en
todo el país; y (iii) por la disposición de 7.621 centros de acceso comunitario en zonas
apartadas y centros poblados de más de 100 habitantes (Kioscos Vive Digital). Lo anterior,
evidencia que los colombianos actualmente cuentan con una base de conectividad
significativa para hacer parte activa del entorno digital (Ministerio de Tecnologías de la
Información y las Comunicaciones, 2015a).
18
Según COLOMBIATIC (2015), se refiere a conexiones de banda ancha (Vive Digital) con corte a 31 de marzo
de 2015. La meta establecida en el PND 2014-2018 para el año 2018 es de 27 millones de conexiones a
Internet.
19
Se trata de una red nacional de telecomunicaciones que despliega redes de transporte de fibra óptica en los
municipios del país, para facilitar el acceso a la información en el entorno digital, y por consiguiente, multiplicar
el número de conexiones a Internet.
30
realidad sus ideas de negocios basados en las TIC. Esto, aunado al hecho de que el 65% de
los ciudadanos colombianos interactúan por medios electrónicos con agencias
gubernamentales que disponen de más de 400 procedimientos totalmente en línea, muestra
que los ciudadanos y empresas se encuentran cada día más inmersos en el entorno digital,
estando dispuestos a interactuar con el Estado mediante el uso de las TIC.
20
Indicador propuesto por Katz (2015) que mide las condiciones de un país o región en cuanto a la
asequibilidad, confiabilidad, accesibilidad, capacidad, utilización y capital humano de las TIC.
21
En el país se pasó de gestionar un total de 4.640 incidentes digitales en 2014 a un total de 7.323 en 2015.
31
Gráfico 2. Sectores afectados en Colombia por incidentes digitales, 2015
Ciudadanía 42,4%
Gobierno 23,9%
Educativo 9,2%
Financiero 9,0%
Industria 6,6%
Defensa 5,8%
TIC 1,4%
Medios de comunicación 0,9%
Entidades adscritas 0,7%
Salud 0,1%
32
de forma coordinada, definiendo claramente la población objetivo de cada una. Esta
situación de esfuerzos aislados, en algunos casos dispersos, sin foco e impacto, también se
presenta en actividades tales como eventos o convocatorias de capacitación, en las cuales
múltiples entidades destinan recursos para el mismo fin y no coordinan los contenidos de las
capacitaciones, lo que no permite maximizar la efectividad de tales actividades.
33
Desde una perspectiva organizacional, lo expuesto anteriormente se traduce en tres
cuestiones principales: (i) los problemas no se abordan al más alto nivel de gobierno; (ii) este
último no cuenta con una evaluación exhaustiva de la situación de riesgo a nivel nacional, y
por tanto, no puede tomar decisiones basadas en el riesgo; y (iii) las actividades en los niveles
inferiores no se basan en la gestión del riesgo.
22
Modelo que toma en cuenta las consideraciones de seguridad cibernética a través de cinco áreas o
dimensiones de la capacidad diferentes: (i) políticas y estrategia nacional de seguridad cibernética; (ii) cultura
cibernética y sociedad; (iii) educación, formación y competencias en seguridad cibernética; (iv) marco jurídico y
reglamentario; y (v) normas, organización y tecnologías.
23
Para cada capacidad se han identificado cinco niveles de madurez. Los niveles de madurez son los siguientes:
(i) inicial: en este nivel, o nada existe, o es de naturaleza embrionaria. Incluye situaciones en las que existe un
pensamiento o una observación acerca de un problema, pero no una acción; (ii) formativo: algunas características
han comenzado a crecer y ser formuladas, pero pueden ser casuales, desorganizadas, mal definidas o
simplemente nuevas; (iii) establecido: los elementos están establecidos y funcionando, sin embargo, no se ha
considerado bien la asignación relativa de recursos, y ha habido poca toma de decisiones de compensación en
relación con la inversión relativa en los distintos elementos del subfactor; (iv) estratégico: al nivel nacional se han
elegido las partes del subfactor que son clave, así como aquellas que son menos importantes para la organización
o país en particular. Estas elecciones toman en consideración un resultado esperado, una vez implementado, que
contiene circunstancias particulares y otros objetivos nacionales existentes; y (v) dinámico: existen mecanismos
claros para alterar la estrategia en función de las circunstancias imperantes, las organizaciones dinámicas han
desarrollado métodos para cambiar las estrategias, de acuerdo con una manera de sentir y responder, y la toma
de decisiones es rápida. La reasignación de los recursos y la atención constante a los cambios del entorno son
las características de este nivel.
34
las amenazas cibernéticas que atenten la defensa y seguridad nacional, y no adopta una
estrategia de gestión de riesgos de seguridad digital que involucre a todas las partes
interesadas, mediante la cual se maximicen las oportunidades y beneficios económicos que
otorga el entorno digital a la sociedad en general.
Aunque hoy los ciudadanos colombianos tienen una mayor interacción con el entorno
digital, actualmente no están maximizando los beneficios socioeconómicos y las
oportunidades potenciales que brinda la economía digital. Por ejemplo, en la Tabla 3 se
aprecia que el 79,6% de los jóvenes entre 12 y 24 años usaron Internet en 2014 en
Colombia, mientras esta cifra para los jóvenes entre 16 y 24 años de edad en los países
OCDE, asciende a 95% (OCDE, 2015b).
Otro aspecto relevante para destacar, es que en Colombia tan solo el 51,1% de los
individuos usó Internet todos los días de la semana (Tabla 4), frente al 75% en países de la
OCDE (OCDE, 2015b), y frente al 65% en los países europeos (EURACTIV, 2015).
35
Al menos una vez a la semana pero no cada día 40,8 41,9 42,6 41,6 41,8
Al menos una vez al mes pero no cada semana 9,8 9,2 11,3 8,8 6,2
Al menos una vez al año pero no cada mes 2,5 1,8 - 1,3 0,9
Fuente: DANE - ECV para los años 2010 a 2014.
Mientras que el 82% de los usuarios de Internet en los países miembros de la OCDE
utilizó el Internet para obtener información sobre bienes y productos, y el 72% consultó
noticias en línea durante el 2014, en Colombia solo el 62% de los individuos utilizó el Internet
para obtener información. Por otro lado, en los países OCDE más del 60% de los individuos
usaron la banca electrónica24 (OCDE, 2015b); mientras que en Colombia, tan sólo el 6,4%
de los individuos lo hicieron (Tabla 6).
24
La banca electrónica hace referencia al tipo de banca que se realiza por medios electrónicos como puede ser
cajeros electrónicos, teléfono, Internet y otras redes de comunicación.
36
Actividad en línea 2010 2011 2012 2013 2014
Banca electrónica 10,1 9,4 5,8 6,5 6,4
Comprar u ordenar productos o servicios 5,3 5,7 4,9 5,1 5,6
Trámites con organismos gubernamentales 3,3 4,4 5,5 5,0 4,1
Otro servicio 3,0 1,1 1,3
Fuente: DANE - ECV para los años 2010 a 2014.
El bajo, pero creciente, uso del entorno digital por parte de los colombianos, se debe
a la existencia de barreras al uso de medios electrónicos. INFOMETRIKA (2014) adelantó
una encuesta para el Ministerio de Tecnologías de la Información y las Comunicaciones con
el fin de medir, entre otros, la percepción de uso de medios electrónicos por parte de los
ciudadanos para realizar trámites y servicios en línea durante 2014. Se encontró que la
principal barrera de los ciudadanos para realizar trámites mediante Internet es la
desconfianza en el medio.
La desconfianza en el uso del entorno digital puede estar relacionada con el uso no
responsable del mismo, actitud que genera riesgos de seguridad digital que deben ser
abordados eficientemente. Estos riesgos se reflejan en el incremento de las denuncias por
delitos cibernéticos. Según las estadísticas de la iniciativa Te Protejo, la cual se considera
como un canal para la denuncia de contenidos ilegales como son el abuso sexual25, la
explotación sexual comercial y la pornografía infantil y adolescente en Colombia, este tipo
de denuncias ha tenido un crecimiento anual promedio del 59% (Tabla 7). Gracias a esta
iniciativa, del 1 al 29 de enero de 2016 la Dirección de Investigación Criminal de Colombia
(DIJIN) ha dado orden de bloqueo a 270 sitios web con pornografía infantil, para un total
de 3.643 localizadores de recursos uniformes (URL) desde su puesta en marcha.
Por otra parte, aunque hoy las empresas colombianas están más digitalizadas,
actualmente todos los sectores no están maximizando los beneficios económicos y las
oportunidades potenciales que brinda la economía digital. Según datos de la ECV del DANE,
mientras que el 87% de las empresas del sector servicios en Colombia tenía un sitio web o
página de inicio en el 2014, tan sólo el 67% de las empresas del sector industria y el 60%
de las empresas del sector comercio lo tenían. En cuanto a la compra de insumos por internet,
solo el 52%, el 38% y el 29% del total de empresas de los sectores de servicios, comercio e
industria, respectivamente usaron Internet con este fin en el 2014. Porcentaje que descienden
aún más si analizamos la venta de productos por Internet, 41%, 20% y 27%, respectivamente.
25
Te Protejo es la primera línea virtual de denuncias en Colombia y Latinoamérica en convertirse miembro de la
Fundación INHOPE, con apoyo de la Policía Nacional de Colombia. Tiene como socios al Ministerio de
Tecnologías de la Información y las Comunicaciones, el Instituto de Bienestar Familiar, la Fundación Telefónica,
el Foro de Generaciones Interactivas (España) y la Red PaPaz.
37
Tabla 7. Denuncias procesadas por la iniciativa Te Protejo en Colombia,
2012-2015
Con respecto a las micro, pequeñas y medianas empresas (MIPYMES), según datos de
la Encuesta de Microestablecimientos (EM) del DANE, tan sólo el 25% de estas firmas de los
sectores industrial, comercial y de servicios en Colombia, tuvieron acceso o usaron Internet
en 2014 y tan sólo el 6% tienen presencia en la web. Mientras que la presencia en la web
de las MIPYME oscila alrededor del 90% en Dinamarca, Finlandia y Suiza, y del 50% en
Letonia, Portugal y México (OCDE, 2015b).
38
desconfianza en el medio, lo que evidencia la falta de mecanismos para ofrecer un entorno
digital seguro y confiable para todos, y comunicarlo.
26
Consiste en la modificación de la página de bienvenida de un sitio web por otra cuyo contenido (pornografía,
política, etc.) depende de la motivación de los atacantes.
27
Técnica utilizada para obtener información confidencial (nombres de usuario, contraseñas, etc.) mediante el
envío de comunicaciones electrónicas aparentemente confiables.
28
Variante del phishing enfocada en usuarios de telefonía móvil, mediante el empleo de mensajes de texto
(SMS).
39
El CCP del país realizó en promedio 330 capturas al año durante 2014 y 2015. El
Gráfico 4 muestra que la problemática es creciente en el país, al observar la evolución de
capturas debido a incidentes digitales; y sin embargo, las cifras oficiales de denuncias
disponibles no evidencian la magnitud, y complejidad de la problemática actual. Esto, dado
que muchos de los incidentes digitales presentados no son reportados a las autoridades
competentes, debido al desconocimiento de los procedimientos de reporte, a la débil cultura
de denuncia u otros aspectos vinculados a los temas de reputación del negocio.
52 62
33
3 5 7 5 6 9 12 10 3 5 19
Obstaculización
Hurto por medios
Transferecnia no
datos personales
Interceptación de
Acceso abusivo a
Suplantación de
Daño informático
datos personales
consentida de
Violación de
ilegítima de
informáticos
sisitos web
informático
sistemas
activos
sistema
4071
1761
805 853 966
77 265 42 26 20 45 149120 53 33
Obstaculización
Hurto por medios
Transferecnia no
datos personales
Interceptación de
Acceso abusivo a
Daño informático
Suplantación de
datos personales
consentida de
Violación de
ilegítima de
informáticos
sisitos web
informático
sistemas
activos
sistema
Por ejemplo, a 31 de diciembre de 2015, se encontró lo siguiente: (i) seis de cada diez
entidades públicas en el país no tiene un área de seguridad informática, ni un área de
40
seguridad de la información; (ii) tan solo en el 21% de las entidades públicas existe un
funcionario dedicado al rol de oficial de seguridad TI; (iii) en promedio, existen dos
funcionarios por entidad que trabajan el tema de seguridad de la información; (iv) en las
entidades públicas, los presupuestos en inversión de la seguridad son muy bajos, pues el
37% tuvo menos de 60 millones de pesos y el 24% no tuvo inversión; y (v) tan solo un 17%
manifestó un aumento de presupuesto, con respecto al año anterior, dentro de la asignación
del presupuesto para la inversión en seguridad. Dentro de este rubro, la inversión dirigida a
protección de la red representa el 25%, y seguridad de la información el 10% (Ministerio de
Tecnologías de la Información y las Comunicaciones, 2015c).
Situación que resulta aún más preocupante si se tiene en cuenta que los esfuerzos de
las entidades en el desarrollo de temas relacionados con investigación, desarrollo e
innovación no son suficientes con relación a las necesidades y avances que se tienen de
forma cotidiana en ataques cibernéticos. Hecho que repercute en la capacidad que tiene el
Gobierno nacional para afrontar las amenazas cibernéticas a las que está constantemente
expuesto.
Por otra parte, BID & OEA (2016) concluyen, de acuerdo a su modelo de madurez de
29
capacidad de seguridad cibernética, en los
temas relacionados con el marco jurídico y reglamentario de seguridad cibernética en
aspectos como privacidad, protección de datos y otros derechos humanos (Figura 2). Con
esta clasificación, se reconoce que se han aplicado procedimientos reglamentarios y de
legislación integral sobre protección de datos, evidenciado con la generación de la Ley 1581
de 2012, y su Decreto reglamentario 1377 de 2013. En esta ley se reconoce el derecho a
la privacidad entregando la libertad al titular para elegir como serán tratados sus datos
personales, así como estableciendo los responsables de dicho tratamiento. Igualmente se
29
Según BID & OEA (2016) los elementos del subfactor están establecidos y funcionando. Sin embargo, no se
ha considerado bien la asignación relativa de recursos. Ha habido poca toma de decisiones de compensación
en relación con la inversión relativa en los distintos elementos del subfactor. Pero el subfactor es funcional y está
definido.
41
indica que es necesario avanzar en temas de participación y cooperación internacional, con
un intercambio efectivo de información para combatir delitos de seguridad cibernética. Esto,
con el fin de aportar instrumentos de contextos transnacionales para la detección,
investigación y judicialización de los responsables.
En atención al rol que cumplen los jueces y fiscales en el proceso judicial en torno a
casos relacionados con el cibercrímen, no son suficientes las competencias técnicas de estas
instancias. Se debe encaminar a construir un marco jurídico maduro que apoye los procesos
judiciales, juzguen conductas de manera efectiva, apoyen procesos de investigación
estructural, y cuente con la capacidad de adaptarse dinámicamente en función de las
circunstancias imperantes.
Dadas las nuevas formas de criminalidad, tal revisión debe considerar el hecho de que
actualmente las grandes redes criminales y el crimen organizado han adquirido una pericia
especial en el manejo de nuevas tecnologías, lo que ha potenciado y ampliado sus
capacidades, facilitando su actuar y optimizando sus rendimientos. El crimen organizado ha
escogido como una gran aliada a la tecnología, y en esa medida crimen y mundo digital se
funden en una amalgama que, vista desde la perspectiva del riesgo país, constituye una
amenaza contra la seguridad nacional. Por tanto, es indispensable que en el país se dé un
30
Según BID & OEA (2016) algunas características del subfactor han comenzado a crecer y ser formuladas,
pero pueden ser casuales, desorganizadas, mal definidas o simplemente nuevas.
42
entendimiento claro de los fenómenos tales como el de ciberlavado de activos31, el
ciberterrorismo, la ciberdelincuencia, el ciberespionaje o el cibersabotaje32.
Establecido
Estratégico
Formativo
Dinámico
Inicial
Marcos jurídicos de seguridad cibernética
Para la seguridad de las TIC
Privacidad, protección de datos y otros derechos humanos
Derecho sustantivo de delincuencia cibernética
Derecho procesal de delincuencia cibernética
Investigación Jurídica
Cumplimiento de la ley
Fiscalía
Tribunales
Divulgación responsable de la información
Divulgación responsable de la información
Fuente: BID & OEA (2016).
Nota: Para las definiciones referiste a la 23.
31
Delito transnacional cuya comisión, en el ámbito de la globalización, de la sociedad informática y de redes,
hace uso del ciberespacio y de las distintas tecnologías que hacen parte de este. Las tipologías de lavado de
activos continuamente deben actualizarse para incluir nuevas técnicas, con el fin de realizar una adecuada
actividad de prevención, detección, represión o adopción de medidas. Dentro de las modalidades de ciberlavado,
es preciso tener en cuenta, principalmente, la creación de compañías de portafolios, transferencias inalámbricas
entre corresponsales, ventas fraudulentas de bienes, y utilización del mercado negro de cambio del peso, bancos
fantasmas y monedas virtuales.
32
Es importante tener en cuenta el cubrimiento del Internet Superficial, el Deep Web y el Dark Web, ya que el
Cibercrímen se mueve de forma clandestina y eficiente en estas porciones profundas de la Web.
43
un juez o un fiscal que conozca los tipos de afectaciones a la seguridad digital o la comisión
de delitos cibernéticas, podrá avanzar de manera más efectiva en la investigación de estas
conductas. En ese orden de ideas, la capacitación es fundamental y contribuye a una mejora
en la judicialización de estas conductas
33
Actividad de un intruso que accede de manera abusiva a un sistema informático aprovechándose de una
vulnerabilidad y eligiendo un vector de ataque de la organización logrando con ello afecta la disponibilidad,
confidencialidad o la integridad de los datos.
34
Actividad que se deriva de la participación y responsabilidad de un empleado con conocimientos para
acceder a un sistema informático de la organización aprovechando de las potenciales vulnerabilidades o carentes
en materia de políticas de seguridad de la información.
44
encuestados respondió que los ataques dejaron como resultado un daño físico y más del 33%
dio lugar a la interrupción del servicio.
A nivel local, actualmente el marco jurídico no contempla los aspectos necesarios para
facilitar la protección y defensa de las infraestructuras críticas cibernéticas nacionales y, a
diciembre de 2015, el país aún no contaba con un catálogo de infraestructuras críticas
cibernéticas nacionales. Ausencia que incrementa el índice de riesgos de materialización de
amenazas cibernéticas sobre las mismas, y facilita la inadecuada gestión de riesgos,
protección y defensa. Además, dificulta la correcta planeación de recursos y los esfuerzos en
materia de seguridad digital de los diferentes sectores económicos y productivos del país. La
afectación o destrucción de cualquier infraestructura crítica cibernética nacional, que soporte
los procesos de servicios esenciales a la población, traería consigo efectos y consecuencias
45
devastadoras para el país, e incluso podría ocasionar la pérdida de gobernabilidad en pocos
minutos.
Es de señalar que el país se ha visto afectado por fenómenos que pueden impactar la
seguridad y los medios de defensa existentes. Estos fenómenos se caracterizan no sólo por
su incremento y lugares de procedencia, sino también por su complejidad y sofisticación
mediante el uso de técnicas cada vez más especializadas, trayendo como consecuencia un
mayor grado de dificultad en la anticipación, detección oportuna y contención.
46
En Colombia, se evidencia que existen esfuerzos aislados de cooperación nacional e
internacional por parte de los responsables de la seguridad digital, por lo que se presentan
dificultades en el intercambio de conocimiento, experiencias, investigación, desarrollo de
nuevas tecnologías, e información relacionada con los incidentes digitales. Los esfuerzos en
materia de cooperación, colaboración y asistencia internacional en seguridad digital, no son
suficientes ni responden a una estrategia permanente que maximice su aprovechamiento.
5. DEFINICIÓN DE LA POLÍTICA
47
5.2. Objetivos específicos
Con el fin de cumplir el objetivo general, bajo los principios fundamentales establecidos
en el Marco conceptual, se formulan cinco objetivos específicos. Estos serán alcanzados
mediante la ejecución de un conjunto de estrategias, las cuales están determinadas por las
dimensiones estratégicas que rigen esta política35 (explicadas en el Marco conceptual).
E1.1. Establecer un marco institucional articulado que involucre a las múltiples partes
interesadas para la implementación de la política nacional de seguridad digital (DE1)
5.2.2. Crear las condiciones para que las múltiples partes interesadas gestionen el
riesgo de seguridad digital en sus actividades socioeconómicas y se genere
confianza en el uso del entorno digital
E2.3. Identificar y abordar los posibles impactos negativos que otras políticas pueden
generar sobre las actividades de las múltiples partes interesadas en el entorno digital o
sobre la prosperidad económica y social (DE3)
E2.4. Generar confianza en las múltiples partes interesadas en el uso del entorno digital
(DE4)
35
Al final de cada estrategia se indica, en paréntesis, la dimensión estratégica sobre la cual actúa.
48
E3.3. Socializar y concientizar las tipologías de cibercrímen y ciberdelincuencia a las
múltiples partes interesadas (DE4)
E4.2. Adecuar el marco jurídico para abordar la protección y defensa del entorno
digital nacional (DE2)
49
Con el fin de alcanzar este objetivo específico, el Gobierno nacional: (i) establecerá
un marco institucional articulado para la implementación de la política nacional de seguridad
digital, e (ii) implementará un modelo de gestión de riesgos de seguridad digital.
E1.1. Establecer un marco institucional articulado que involucre a las múltiples partes
interesadas para la implementación de la política nacional de seguridad digital (DE1)
Con el objetivo de que el país tenga una visión estratégica en seguridad digital, el DNP
creará la figura de coordinador nacional de seguridad digital. Dicha figura deberá ser
creada a más tardar el 31 de diciembre de 2016, y se debe garantizar que (i) tenga la
idoneidad; (ii) se definan las competencias específicas; y (iii) esté dotado de las herramientas
jurídicas que le permitan desempeñar sus funciones con la mayor efectividad. Dicha figura
será un funcionario dependiente del Departamento Nacional de Planeación, el cual tendrá
como mínimo las siguientes funciones:
Garantizar que el alcance de la seguridad digital en el país incluya los objetivos: (i) de
prosperidad económica y social; (ii) de ciberseguridad, para enfrentar nuevos tipos de
crimen, delincuencia, y otros fenómenos que afecten la seguridad nacional; y (iii) de
ciberdefensa.
Coordinar (i) con la Comisión Nacional Digital y de Información Estatal, o quien haga
sus veces; y (ii) con las múltiples partes interesadas, los informes respecto del
cumplimiento de los lineamientos de orientación superior establecidos para la
implementación de la política nacional de seguridad digital en el marco de sus
principios fundamentales.
50
El coordinador nacional de seguridad digital tendrá a su cargo un equipo de apoyo
operativo intersectorial, el cual estará conformado por representantes de, al menos, las
siguientes entidades: Ministerio de Tecnologías de la Información y las Comunicaciones,
Ministerio de Defensa Nacional y la Dirección Nacional de Inteligencia.
Por otro lado, con el fin de avanzar en la adopción de un enfoque de múltiples partes
interesadas, el coordinador nacional de seguridad digital del DNP, con apoyo del
Departamento Administrativo de la Función Pública (DAFP), definirá en cada ministerio y
departamento administrativo de orden nacional el enlace sectorial en los temas de seguridad
digital, a más tardar el 30 de junio de 2017. Este enlace es el interlocutor con (i) el
coordinador nacional de seguridad digital; (ii) la instancia de máximo nivel en el Gobierno
nacional; y (iii) las múltiples partes interesadas. Adicionalmente, el enlace sectorial será el
encargado de rendir cuentas al coordinador nacional de seguridad digital, acerca de la
implementación de la política nacional de seguridad digital en la respectiva entidad. Por su
parte, el Ministerio de Tecnologías de la Información y las Comunicaciones deberá adelantar
jornadas de sensibilización durante el año 2017 para que los entes territoriales definan un
enlace en la materia.
36
Por el cual se crea la Comisión Nacional Digital y de Información Estatal.
51
se comenzará por implementar el plan de fortalecimiento para el colCERT. Plan que permitirá
desarrollar las capacidades necesarias para implementar un esquema de gobernabilidad
participativa de múltiples partes interesadas, y definir los niveles de escalamiento para el
reporte de incidentes digitales. Así, en el periodo de ejecución de esta política, el colCERT
continuará como una dependencia del Ministerio de Defensa Nacional
El plan incluirá un análisis detallado de las capacidades actuales, así como insumos de
revisiones externas que permitan orientar las acciones requeridas en cada uno de los frentes.
Este plan, además deberá considerar aspectos de orden presupuestal, y plantear estrategias
para gestionar recursos provenientes de fuentes diferentes al Gobierno nacional, como por
ejemplo, alianzas con gremios, instituciones privadas, el desarrollo de actividades mediante
un portafolio de servicios que genere ingresos, entre otros.
52
5.3.2. Crear las condiciones para que las múltiples partes interesadas gestionen el
riesgo de seguridad digital en sus actividades socioeconómicas y se genere
confianza en el uso del entorno digital
Con el fin de alcanzar este objetivo específico, el Gobierno nacional adelantará las
siguientes estrategias: (i) establecerá mecanismos de participación activa y permanente de
las múltiples partes interesadas en la gestión del riesgo de seguridad digital, (ii) adecuará el
marco legal y regulatorio en torno a la dinámica de la economía digital y sus incertidumbres
inherentes, (iii) identificará y abordará los posibles impactos negativos que otras políticas
pueden generar sobre las actividades de las múltiples partes interesadas o sobre la
prosperidad económica y social en el entorno digital, (iv) generará confianza a las múltiples
partes interesadas en el uso del entorno digital, y (v) promoverá comportamientos
responsables en el entorno digital en diferentes niveles de formación educativa.
Esta estrategia busca involucrar a las múltiples partes interesadas en la gestión del
riesgo de seguridad digital, de tal forma que asuman la responsabilidad que les corresponde
de acuerdo a su rol y función, y participen activamente tanto en la fase de construcción de
los elementos que se consignan en este documento, como en la implementación de la política.
Para esto, el coordinador nacional de seguridad digital diseñará, a más tardar el 30 de junio
de 2017, un mecanismo dinámico de coordinación que defina (i) los roles, las
responsabilidades y las funciones de las múltiples partes interesadas; y (ii) una matriz de
comunicación y seguimiento entre el coordinador nacional de seguridad digital, la instancia
de máximo nivel del Gobierno y las múltiples partes interesadas, con el fin de abordar los
temas de seguridad digital en Colombia.
53
múltiples partes interesadas para gestionar los riesgos de seguridad digital en un escenario
de posconflicto.
E2.3. Identificar y abordar los posibles impactos negativos que otras políticas pueden
generar sobre las actividades de las múltiples partes interesadas en el entorno digital o
sobre la prosperidad económica y social (DE3)
Esta estrategia busca articular la gestión de riesgos de seguridad digital entre todas las
entidades del Gobierno nacional, con un enfoque que sea flexible, tecnológicamente neutro
y coherente. Para esto, el DNP elaborará un estudio de recomendaciones sobre las medidas
que deben ser tomadas para garantizar la articulación y coherencia de la gestión de riesgos
de seguridad digital con las distintas estrategias o políticas existentes, tales como el Plan
Nacional de Desarrollo 2014-2018 o el Plan Vive Digital 2014-2018. Estas
recomendaciones, deberán identificar los posibles impactos negativos que otras políticas
pueden generar sobre las actividades de las múltiples partes interesadas en el entorno digital,
37
Disponible en: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3816.pdf
54
o sobre la prosperidad económica y social. Este estudio será entregado a la instancia de
máximo nivel en seguridad digital a más tardar en junio de 2017.
E2.4. Generar confianza en las múltiples partes interesadas en el uso del entorno digital
(DE4)
De igual manera, durante los años 2017 a 2019, dicho ministerio fortalecerá las
capacidades de gestión de riesgos de seguridad digital en las entidades del Estado de
veinticuatro sectores, de forma tal que en sus políticas, procesos y procedimientos se adopte
la gestión de riesgos de seguridad. La selección de los sectores tendrá en cuenta, entre otros,
el nivel de exposición de estos a incidentes digitales, así como el nivel de ocurrencia de
55
delitos y crímenes en el entorno digital que afectan a los mismos. Una vez hecha la selección,
se capacitará a los líderes y directivos de las entidades en los sectores seleccionados en
asuntos relacionados con la gestión del riesgo de la seguridad digital. Finalmente, el
Ministerio de Tecnologías de la Información y las Comunicaciones asignará un equipo asesor
para guiar a las entidades seleccionadas en el desarrollo de las acciones para la gestión de
riesgos de seguridad digital y realizará visitas, según las necesidades identificadas en el
proceso de selección y durante el acompañamiento.
Esta estrategia busca capacitar a los agentes que se encuentran en el sistema educativo,
tanto estudiantes como docentes, acerca de su responsabilidad en la gestión de riesgos de
seguridad digital. Esto, con el fin de promover el uso del entorno digital pero de manera
responsable, lo que a su vez generará confianza en este.
38
Activos de información y recursos se refiere a elementos de hardware y de software de procesamiento,
almacenamiento y comunicaciones, bases de datos y procesos, procedimientos y recursos humanos asociados
con el manejo de los datos y la información misional, operativa y administrativa de cada entidad, órgano u
organismo.
56
digital, y capacitará a los estudiantes de educación básica y media, y a los estudiantes de
educación superior, a estos últimos a través del Portal Educativo Colombia Aprende. Dichos
contenidos deben contemplar contextos pertinentes para los alumnos, de tal forma que
puedan tomar decisiones concretas sobre los riesgos de seguridad digital, aún en situaciones
inciertas. Igualmente, capacitará con contenidos educativos complementarios sobre medidas
preventivas y correctivas, en torno a problemáticas de seguridad digital, a docentes, a través
del Portal educativo Colombia aprende y de los diplomados del programa Computadores
para educar del Ministerio de Tecnologías de la Información y las Comunicaciones.
Este objetivo busca empoderar a los ciudadanos y al Estado en relación con los riesgos
del entorno digital, y consolidar las capacidades del país para hacer frente al crimen, la
delincuencia y otros fenómenos que afectan la seguridad nacional desde este entorno. Para
su cumplimiento, el Gobierno nacional ejecutará las cuatro estrategias que se describen a
continuación.
Los poderes para la aplicación de la ley deben estar sujetos a salvaguardias con el fin
de garantizar el cumplimiento de los requerimientos del Estado de derecho y de los
derechos humanos.
Debe operar con suficiente armonía o por lo menos ser compatible con las leyes de
otros países, para permitir la cooperación internacional; por ejemplo, el cumplimiento
con la condición de la doble criminalidad.
58
Teniendo en cuenta lo anterior, el Ministerio de Justicia y del Derecho definirá los
lineamientos que faciliten los ajustes requeridos en el marco legal y regulatorio para
adecuarlo a las necesidades en materia de (i) análisis, anticipación, prevención, detección,
atención e investigación de delitos cibernéticos, cibercrímenes y fenómenos en el entorno
digital, y de delitos y crímenes que utilicen el entorno digital como medio; (ii) persecución y
criminalización de nuevos tipos delictivos, que incluya a los delitos informáticos como delitos
fuente de lavado de activos; y (iii) actuación de los organismos de seguridad, defensa e
inteligencia del Estado en el entorno digital, de acuerdo con los principios fundamentales de
la política nacional de seguridad digital.
Uno de los aspectos en el que hace más énfasis esta política, es el relacionado a la
responsabilidad que todas las partes interesadas tienen en cuanto a la gestión de riesgos de
seguridad digital. Para el efecto, será muy importante que cada una de estas partes,
incluyendo a cada ciudadano, entienda los riesgos del entorno digital y adopte medidas y
comportamientos que resulten adecuados para reducir impactos negativos en el desarrollo
de sus actividades económicas y sociales. Esto hace necesario adelantar procesos de
sensibilización a todo nivel.
59
reportará el número de ejercicios adelantados, la asistencia a los eventos, las conclusiones y
las respectivas recomendaciones.
60
E4.2. Adecuar el marco jurídico para abordar la protección y defensa del entorno
digital nacional (DE2)
Bajo la adecuación del mencionado marco jurídico se debe buscar que esté acorde
con las definiciones internacionales en lo relacionado con la gestión de incidentes, delitos
informáticos, cibercrímen, entre otros. Tema que cobra especial importancia si se tiene en
cuenta la futura adhesión de Colombia al Convenio sobre Ciberdelincuencia del Consejo de
Europa.
El proceso descrito tendrá que realizarse periódicamente con el fin de contar con un
catálogo y una estrategia actualizados en todo momento. Característica esencial en lo
relacionado con seguridad digital, teniendo en cuenta la evolución permanente de las
amenazas en el ciberespacio. En cada actualización se buscará vincular a los sectores y
entidades que aún no hayan decidido participar en el catálogo, reiterando la invitación a
hacer parte del grupo de trabajo de la primera instancia. Esto permitirá robustecer el
catálogo, y en consecuencia, la estrategia de protección y defensa.
Los CSIRT tendrán la capacidad de reacción ante incidentes especializados por sector
y con capacidad real de interacción con los diferentes fabricantes, agencias de ley y otras
agencias del gobierno. Adicionalmente, definirán prácticas adecuadas de gestión de
seguridad en cada sector, asesorarán y acompañarán a las diferentes empresas.
39
Figura exigida por las metodologías internacionales para la creación de equipos de respuesta a incidentes
cibernéticos.
62
interesadas. Lo anterior, con el fin de que la información de interés para la prevención de
incidentes digitales sea conocida por los diferentes equipos de respuesta.
Este objetivo busca dinamizar la cooperación nacional entre las múltiples partes
interesadas y la cooperación internacional en materia de seguridad digital. Para cumplir lo
anterior se ejecutarán dos estrategias.
Todo esto con el fin de adelantar la debida determinación de los temas relevantes a ser
impulsados en la agenda internacional por parte de Colombia, y proceder con el seguimiento
respectivo del tema promovido.
64
internacionales, entendiendo por esta un proceso de comprensión y uso de la gestión del
riesgo de seguridad digital. Se adelantarán dos jornadas en 2016, tres en 2017, cuatro en
2018 y cinco en 2019.
La CRC de Colombia, con apoyo del DNP, estimó el impacto económico de la adopción
e implementación de la política nacional de seguridad digital en Colombia al año 2020,
mediante el uso de un Modelo de Equilibrio General Computado (MEGC) dinámico40. Se
estima que la implementación de dicha política al año 2020 habría generado alrededor de
307.00041 empleos, y un crecimiento aproximado de 0,09% en la tasa promedio de
variación anual del PIB, sin generar presiones inflacionarias.
Escenario con
Unidad de Escenario gestión de
Resultados Diferencia
medida base riesgos de
seguridad digital
Tasa de cambio Pesos por USD 2.619,04 2.620,46 1,42
Variación % 5,44% 5,45% 0,01%
Inflación al consumidor
Porcentaje 5,17 5,17 0,00
(canasta 2010)
Miles de millones
PIB 755.571 772.013 16.442
de pesos
Crecimiento % 4,35% 4,44%% 0,09%
40
El MEGC dinámico de la CRC es un instrumento de simulación económica y de evaluación de impacto de
medidas económicas, construido para el conjunto de la economía con énfasis en el sector de comunicaciones a
partir de la definición de varios escenarios. Este incluye ecuaciones definidas sobre la base de la teoría económica
generalmente aceptada, interactuando con aspectos fiscales, monetarios y de inversión, con presencia de diversos
agentes económicos.
41
Se estima la creación de 307.000 empleos en el periodo 2016 a 2020, los cuales se dividen en dos
categorías: (i) asalariados, e (ii) independientes y trabajadores no asalariados. Este dato es la creación nacional
de empleo, por ende es la cantidad de empleos que se crean en todos los sectores de la economía, bien sea
directamente por la Política nacional de seguridad digital, como por sus derivaciones.
65
Escenario con
Unidad de Escenario gestión de
Resultados Diferencia
medida base riesgos de
seguridad digital
Empleo total Empleos 23.540.812 23.848.034 307.222
Variación % 3,55% 3,88% 0,33%
Asalariados Empleos 8.397.632 8.493.358 95.726
Variación % -1,11% -0,78% 0,33%
Independientes y
trabajadores no Empleos 15.143.180 15.354.676 211.496
asalariados
Variación % 6,19% 6,51% 0,33%
Fuente: CRC con apoyo el apoyo del DNP, 2016.
Nota: El análisis parte de un escenario base que refleja la situación económica reciente (año 2015), la de los
últimos cinco años (2010, 2011, 2012, 2013 y 2014), las estadísticas base del año 2010, y unas previsiones
de precios internacionales, de políticas monetaria y fiscal para los años de proyección (2015-2020) considerados
plausibles.
5.5. Seguimiento
Porcentaje acumulado de
Corte Fecha
implementación (a)
Primer corte 31 de diciembre de 2016 11%
Segundo corte 30 de junio de 2017
Tercer corte 31 de diciembre de 2017 54%
Cuarto corte 30 de junio de 2018
Quinto corte 31 de diciembre de 2018 77%
Sexto corte 30 de junio de 2019
Informe de cierre 31 de diciembre de 2019 100%
El reporte periódico al PAS se realizará por todas las entidades participantes en este
documento CONPES, y será consolidado por el DNP de acuerdo con el cronograma de la
66
Tabla 9. En cada informe de seguimiento se deberá reportar el nivel de ejecución de todas
las acciones iniciadas.
5.6. Financiamiento
Para efectos del cumplimiento de los objetivos específicos de esta política, las entidades
involucradas en su ejecución, en el marco de sus competencias, gestionarán y priorizarán
recursos para la financiación de las acciones que se proponen. Lo anterior, acorde con el
Marco de Gasto de Mediano Plazo del respectivo sector.
En la Tabla 10 se encuentran los recursos asignados y las fuentes de los mismos, los
cuales se ejecutarán durante el horizonte de la política nacional de seguridad digital en
Colombia.
67
6. RECOMENDACIONES
a. Con apoyo del coordinador nacional de seguridad digital, elaborar y ejecutar los
planes de fortalecimiento de las capacidades operativas, administrativas, humanas,
científicas, de infraestructura física y tecnológica del colCERT, del CCP y del CCOC,
(diciembre de 2019).
a. Con apoyo del coordinador nacional de seguridad digital, definir una agenda
estratégica internacional en temas de seguridad digital (diciembre de 2017); y
presentar, a solicitud de las entidades nacionales competentes, propuestas de
acuerdos en materia de seguridad digital (a partir de julio de 2016).
70
Anexo B: Análisis comparativo de estrategias y políticas de seguridad digital expedidas en 2015 en cinco países
Norma Contenido
Artículos 11, 12, 13, 14, 17, 21, 22, 24, 29, 44, entre otros. Por ejemplo, Art. 15. Todas las personas tienen derecho
a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo,
Constitución Política de Colombia tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de
datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán
la libertad y demás garantías consagradas en la Constitución.
Por medio de la cual se define y se reglamenta el acceso y uso de los mensajes de datos, el comercio electrónico y de
las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. Se tratan conceptos
Ley 527 de 1999 (Comercio
como: mensaje de datos (artículos 2º y 5º), el principio de equivalencia funcional (artículos 6º, 8º, 7º, 28º, 12º y 13º),
Electrónico)
la autenticación electrónica (artículo 17º), la firma electrónica simple (artículo 7º), la firma digital (artículo 28º), y la
firma electrónica certificada (artículo 30º, modificado por el artículo 161 del Decreto Ley 019 de 2012).
Ley 594 de 2000 (Ley General de Habilita el uso de nuevas tecnologías de manera general, es posible establecer que para satisfacer los requerimientos
Archivos) establecidos en esta norma sea viable usar firmas electrónicas simples, certificadas y firmas digitales.
Ley 599 de 2000 (Código Penal) Por la cual se expide el código penal colombiano.
Ley 600 de 2000 (Código de
Por la cual se expide el código de procedimiento penal.
Procedimiento Penal)
Esta Ley contempla en el artículo 4, un sistema de autorregulación, en virtud del cual el Gobierno nacional, por
Ley 679 de 2001 intermedio del Ministerio de Comunicaciones hoy Ministerio de Tecnologías de la Información y las Comunicaciones-
(Pornografía y explotación , promoverá e incentivará la adopción de sistemas de autorregulación y códigos de conducta eficaces en el manejo y
sexual con menores) el aprovechamiento de redes globales de información, estos códigos se elaboraran con la participación de organismos
representativos de los proveedores y usuarios de servicios de redes globales de información.
Ley 906 de 2004 (Código de
Por la cual se expide el código de procedimiento penal (corregida de conformidad con el Decreto 2770 de 2004)
Procedimiento Penal)
Por la cual se dictan disposiciones sobre racionalización de trámites y procedimientos administrativos de los organismos
Ley 962 de 2005 (racionalización de y entidades del Estado y de lo ́ el
trámites y procedimientos) incentivo del uso de medios tecnológicos integrados para disminuir los tiempos y costos de realización de los trámites
por parte de los administrados.
Ley 1032 de 2006 (derechos de autor y Por la cual se modifican los artículos 257, 271, 272 y 306 del código penal (artículo 271. violación a los derechos
conexos) patrimoniales de autor y derechos conexos).
Norma Contenido
Por medio de la cual se introducen medidas para la eficiencia y la transparencia en la Ley 80 de 1993 y se dictan
Ley 1150 de 2007 (medidas para la otras disposiciones generales sobre la contratación con recursos públicos. Específicamente, se establece la posibilidad
eficiencia y la transparencia) de que la administraci
́ el desarrollo del Sistema Electrónico para la Contratación Pública (SECOP).
Por la cual la Superintendencia Financiera de Colombia incrementa los estándares de seguridad y calidad para el
Circular Externa SFC 052 de 2007 manejo de la información a través de medios y canales de distribución de productos y servicios que ofrecen a sus
clientes y usuarios las entidades vigiladas por esta Entidad.
Contempla las disposiciones generales en relación al derecho de habeas data y se regula el manejo de la información
Ley 1266 de 2008 (Habeas
contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente
Data)
de terceros países y se dictan otras disposiciones.
A través de esta ley se adiciona y robustece la Ley 679 de 2001, de lucha contra la explotación, la pornografía y el
turismo sexual con niños, niñas y adolescentes. Esta ley establece dos medidas para contrarrestar la explotación sexual
Ley 1336 de 2009
y la pornografía infantil que se relacionan tangencialmente con las TIC, en primer lugar establece en el artículo 4
(Explotación, pornografía y el turismo
(autorregulación de café internet códigos de conducta) que todo establecimiento abierto al público que preste servicios
sexual con niños)
de internet o de café internet deberá colocar en un lugar visible un reglamento de uso público adecuado de la red, y
deberá indicar que la violación a este genera la suspensión del servicio al usuario.
Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las TIC, se crea
Ley 1341 de 2009 (Sector TIC)
la Agencia Nacional del Espectro y se dictan otras disposiciones.
Se determina la forma en la cual los operadores de los bancos de datos de información financiera, crediticia, comercial,
Decreto 1727 de 2009 (Habeas Data)
de servicios y la proveniente de terceros países, deben presentar la información de los titulares de la información.
Este Decreto reglamenta los artículos 12 y 13 de la Ley 1266 de 2008, en este sentido establece que con fundamento
en el principio constitucional de solidaridad surgen obligaciones a cargo del Estado y de los ciudadanos, en virtud de
Decreto 2952 de 2010
las cuales cuando se presenten situaciones de fuerza mayor, es posible otorgar a las víctimas de secuestro, desaparición
(Habeas Data)
forzada y personas secuestradas, debido a su estado de debilidad manifiesta, un tratamiento diferenciado en la
administración de su información financiera, crediticia y comercial.
Ley 1437 de 2011 (Uso de medios Consagra la utilización de medios electrónicos en el procedimiento administrativo permitiendo adelantar los trámites y
electrónicos Procedimiento Administrativo procedimientos administrativos por medios electrónicos, el uso de registros electrónicos, de documentos públicos en
Electrónico) medios electrónicos, notificaciones electrónicas, archivos electrónicos de documentos, expedientes electrónicos y sedes
74
Norma Contenido
electrónicas. Lo anterior, con el fin de que los ciudadanos interactúen por medios electrónicos con validez jurídica y
probatoria.
Ley 1453 de 2011 (Estatuto de seguridad Por medio de la cual se reforma el código penal, el código de procedimiento penal, el código de infancia y
ciudadana) adolescencia, las reglas sobre extinción de dominio y se dictan otras disposiciones en materia de seguridad.
Ley 1474 de 2011 (Uso de medios Esta norma permite la utilización de medios tecnológicos en los trámites y procedimientos judiciales, en las diligencias,
tecnológicos) práctica de pruebas y notificaciones de las decisiones.
Ley 1480 de 2011 (Estatuto del Se incluye en la definición de las ventas a distancia, aquellas que se realizan a través del comercio electrónico. El
Consumidor - Comercio electrónico y artículo 26 de esta Ley, consagra que la SIC determinará las condiciones mínimas bajo las cuales operar la información
publicidad) pública de precios de los productos que se ofrezcan a través de cualquier medio electrónico.
Permite el uso de las TIC en todas las actuaciones de la gestión y trámites de los procesos judiciales con el fin de
Ley 1564 de 2011 (Uso de las TIC)
facilitar el acceso a la justicia.
Se establece el régimen integral de protección de los derechos de los usuarios de los servicios de comunicaciones. En
Resolución CRC 3066 de 2011 particular, se establece que los proveedores de servicios de comunicaciones deberán implementar procesos formales
de tratamiento de incidentes de seguridad de la información propios de la gestión de seguridad del proveedor.
Resolución CRC 3067 de 2011
Está Resolución establece en el artículo 2.3, que los proveedores que ofrezcan acceso a internet deben utilizar los
calidad para los servicios de recursos técnicos y logísticos tendientes a garantizar la seguridad de la red y la integridad del servicio, para evitar la
telecomunicaciones y se dictan otras interceptación, interrupción e interferencia del mismo.
A través de la Resolución CRC 3502 de 2011, se establecen condiciones regulatorias relativas a la neutralidad en
Resolución CRC 3502 de 2011 internet, en cumplimiento de lo establecido en el artículo 56 de la Ley 1450 de 2011 (PND 2010 2014). Se contempla
(Neutralidad de Internet) en el artículo 3 los principios de libre elección, no discriminación, transparencia e información, que deben aplicar los
proveedores que prestan el servicio de acceso a internet.
Por la cual se dictan disposiciones generales para la protección de datos. Esta ley busca proteger los datos personales
Ley 1581 de 2012 registrados en cualquier base de datos que permite realizar operaciones, tales como recolección, almacenamiento,
(Habeas Data) uso, circulación o supresión por parte de entidades de naturaleza pública y privada, sin embargo a los datos financieros
se les continúa aplicando la Ley 1266 de 2008, excepto los principios.
Ley 1712 de 2012 (Uso de las TIC) Regula el derecho de acceso a la información pública, los procedimientos para el ejercicio y garantías del derecho y
las excepciones a la publicidad de la información. Toda persona puede conocer sobre la existencia y acceder a la
75
Norma Contenido
información pública en posesión o bajo control de los sujetos obligados. El acceso a la información solamente podrá
ser restringido excepcionalmente.
Este Decreto determina que la interceptación legal de comunicaciones, es un mecanismo de seguridad pública que
busca optimizar la labor de investigación de los delitos que adelantan las autoridades y organismos de inteligencia.
De esta manera, se determina que los proveedores que desarrollen su actividad comercial en el territorio nacional,
Decreto 1704 de 2012
deben implementar y garantizar en todo momento la infraestructura tecnológica necesaria que provea los puntos de
(Interceptación legal de comunicaciones)
conexión y de acceso a la captura del tráfico de las comunicaciones que cursen por sus redes, para que los organismos
con funciones permanentes de policía judicial cumplan, previa autorización del fiscal general de la nación, con todas
las labores inherentes a la interceptación de las comunicaciones requeridas.
Se reestructura la organización del Ministerio de Defensa Nacional, en el sentido de asignar al despacho del
Viceministro la función de formular políticas y estrategias en materia de ciberseguridad y ciberdefensa. Adicionalmente
Decreto 2758 de 2012 (Modifica la le encarga a la Dirección de seguridad pública y de infraestructura, la función de implementar políticas y programas
Estructura del Misterio de Defensa) que mantengan la seguridad pública y protejan la infraestructura, así como hacerle seguimiento a la gestión
relacionada con el riesgo cibernético en el sector defensa y diseñar el plan estratégico sectorial en materia de
ciberseguridad y ciberdefensa.
Establece las siguientes actividades que las entidades de certificación acreditadas podrán realizar en el país, tales
como emitir certificados en relación con las firmas electrónicas o digitales de personas naturales o jurídicas, emitir
Decreto Ley 019 de 2012 (Entidades de certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos y de
Certificación Digital) documentos electrónicos transferibles, y emitir certificados en relación con la persona que posea un derecho u
obligación con respecto a los documentos enunciados en los literales f) y g) del artículo 26 de la Ley 527 de 1999,
entre otras.
Resolución expedida por la SIC, por medio de la cual se imparten instrucciones relativas a la protección de datos
Resolución SIC No. 76434 de 2012
personales, en particular acerca del cumplimiento de la Ley 1266 de 2008, sobre reportes de información financiera,
(Habeas Data)
crediticia, comercial de servicios y la proveniente de terceros países.
Establece la reglamentación del artículo 7º de la Ley 527 de 1999, complementando el marco jurídico de los
mecanismos de autenticación previstos en Colombia. Se definen algunas características que benefician el uso de los
Decreto 2364 de 2012 (Firma medios electrónicos, tales como la definición de los criterios de confiabilidad y apropiabilidad en el uso de los
electrónica) mecanismos de autenticación, la fijación de la relación de género y especie entre firmas electrónicas y firmas digitales,
señalando las diferencias en su tratamiento probatorio, pues en el último mecanismo existe una inversión probatoria, y
el uso de la firma electrónica mediante acuerdo de las múltiples partes de una relación jurídica, entre otras.
Resolución 3933 de 2013 Creó el Grupo colCERT y asignó funciones a la dependencia de la Dirección de seguridad pública y de infraestructura
del Ministerio de Defensa Nacional respecto a promover el desarrollo de capacidades locales o sectoriales para la
76
Norma Contenido
del Ministerio de Defensa Nacional (Crea gestión operativa de los incidentes de ciberseguridad y ciberdefensa en las infraestructuras críticas nacionales, el sector
y organiza grupos internos de trabajo) privado y la sociedad civil.
Se reglamenta parcialmente la Ley 1581 de 2012, facilitando la implementación y el cumplimiento de la Ley 1581 de
Decreto 1377 de 2013
2012, reglamentando aspectos particulares relacionados con la autorización del titular de la información para el
(Habeas Data)
tratamiento de sus datos personales, además consagra políticas de tratamiento de los responsables y encargados.
Ley 1621 de 2013 para la función de
Esta ley expide normas para fortalecer el marco jurídico que permita a los organismos que llevan a cabo actividades
inteligencia y contrainteligencia en
de inteligencia y contrainteligencia cumplir adecuadamente con su misión constitucional y legal.
Colombia)
El Ministerio de Tecnologías de la Información y las Comunicaciones en cumplimiento de los lineamientos señalados
Decreto 0032 de 2013 (Creación de la en el Documento CONPES 3701, creo a través de este Decreto, la Comisión Nacional Digital y de Información Estatal
Comisión Nacional Digital y de cuyo objeto es la coordinación y orientación superior de la ejecución de funciones y servicios públicos relacionados
Información Estatal) con el manejo de la información pública, el uso de infraestructura tecnológica de la información para la interacción
con los ciudadanos y el uso efectivo de la información en el Estado colombiano.
Se reglamenta el artículo 160 del Decreto 019 de 2012), definiendo el régimen de acreditación de las entidades de
certificación abierta, en desarrollo de lo que define el artículo 160 del Decreto 019 de 2012 y se deroga el Decreto
Decreto 333 de 2014 1747 de 2000, que reglamenta de manera parcial la Ley 527 de 1999, referente a las entidades de certificación
(Habeas Data) digital, certificados y firmas digitales, de manera que las entidades que deseen seguir prestando los servicios de
certificación digital, deberán iniciar la correspondiente acreditación, ya no ante la Superintendencia de Industria y
Comercio, sino ante el Organismo de Acreditación en Colombia (ONAC).
Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al registro nacional de bases de datos. Se
Decreto 886 de 2014 (Registro Nacional
reglamenta la información mínima que debe contener dicho registro, creado por la Ley 1581 de 2012, así como los
de Base de Datos)
términos y condiciones bajo las cuales se deben inscribir en este los responsables del tratamiento.
Decreto 2573 de 2014 (Gobierno en Por el cual se establecen los lineamientos generales de la estrategia de Gobierno en línea, se reglamenta parcialmente
Línea) la Ley 1341 de 2009 y se dictan otras disposiciones.
Por medio del cual se reglamenta la Ley estatutaria 1621 de 2013, que establece el marco legal que permite a los
organismos, que llevan a cabo actividades de inteligencia y contrainteligencia, para cumplir con su misión
Decreto compilatorio 1070 de 2015
constitucional y legal. Adicionalmente, establece la reserva legal, los niveles de clasificación y el sistema para la
designación de los niveles de acceso a la información y clasificación de documentos.
Decreto 1074 de 2015 (Decreto Único Por medio del cual se expide el Decreto único reglamentario del sector de comercio, industria y turismo, el cual tiene
Reglamentario del Sector de Comercio, por objeto compilar las normas reglamentarias preexistentes que rigen el sector. Compilación de los Decretos 2364 de
Industria y Turismo) 2012, 333 de 2014, entre otros.
77
Norma Contenido
Decreto 1078 de 2015 (Decreto Único Por medio del cual se expide el Decreto único reglamentario del sector TIC, el cual tiene por objeto compilar las normas
Reglamentario del Sector TIC) reglamentarias preexistentes que rigen el sector.
Por la cual la Superintendencia de Industria y Comercio impartió instrucciones a los responsables del tratamiento de
Circular Externa SIC 02 del 3 de datos personales, personas jurídicas de naturaleza privada inscritas en las cámaras de comercio y sociedades de
noviembre de 2015 economía mixta, para efectos de realizar la inscripción de sus bases de datos en el registro nacional de bases de datos
a partir del 9 de noviembre de 2015.
78
Anexo D: Normativa internacional relacionada con asuntos de seguridad digital
Instrumento Materia
Por la cual se establecen los lineamientos de la Política de Seguridad Externa Común Andina. Dentro de los objetivos
Decisión 587 de la Comunidad
de dicha política se encuentra el prevenir, combatir y erradicar las nuevas amenazas a la seguridad y cuando
Andina, adoptada el 10 de julio de
corresponda sus interrelaciones, a través de la cooperación y coordinación de acciones orientadas a enfrentar los
2004
desafíos que representan dichas amenazas para la Comunidad Andina.
Consenso en materia de ciberseguridad
de la Unión Internacional de Busca la promoción del examen de los conceptos internacionales pertinentes encaminados a fortalecer la seguridad de
Telecomunicaciones - UIT, en el seno de los sistemas mundiales de información y telecomunicaciones. Las Resoluciones que emita la UIT son vinculantes para
Naciones Unidas, en desarrollo del Colombia, puesto que a través de las Leyes 252 de 1995 y 873 de 2004, se aprobó la constitución de la UIT y el
programa de acciones de Túnez para la Convenio de la UIT, así como las enmiendas posteriores que se han realizado.
sociedad de la información de 2005
79
Instrumento Materia
Resoluciones UNGA: 55/63 y 56/121 sobre la lucha contra el uso delictivo de tecnologías de información; 57/239,
58/199 y 64/211 sobre la creación de una cultura mundial de seguridad cibernética y la protección de infraestructuras
críticas de información; Cumbre Mundial sobre la Sociedad de la Información (CMSI), Declaración de Principios y
Pronunciamientos de Principios
Orden del Día de la Fase de Túnez (en particular la línea de acción C5). Estas son normas o principios generales, que
no constituyen reglas y no son vinculantes, sin embargo estos actos o instrumentos jurídicos sin carácter obligatorio, son
incardinados de una forma u otra, en el sistema de fuentes del Derecho Internacional (Soft Law).
Marco de trabajo de estrategias
LA OTAN publica en el año 2012 en colaboración con la NATO Cooperative Cyber Defence Centre of Excellence el
nacionales de ciberseguridad. Manual de
manual para la formulación de estrategias nacional de ciberseguridad para sus países miembros.
la OTAN
Declaración de la Cumbre de Gales de la Documento oficial de los resultados de la Cumbre de la OTAN celebrada en Cardiff (Gales) los días 4 y 5 de septiembre
OTAN en 2014 de 2014, en donde se resaltan acuerdos para abordar la ciberseguridad en los países de dicha alianza.
Declaración sobre la protección de
Declaración en donde, entre otros, la Secretaría Ejecutiva del CICTE de la OEA desarrolla un proyecto de asistencia
infraestructura crítica ante las amenazas
técnica que, permita a estos la elaboración de un listado de su infraestructura crítica y su clasificación, basados en sus
emergentes (Aprobado durante la quinta
respectivos activos, sistemas, redes y funciones esenciales, para hacer posible la mejor evaluación de vulnerabilidades,
sesión plenaria, celebrada el 20 de
brechas, amenazas, riesgos e interdependencia.
marzo de 2015)
Identifica como relevantes, entre otras nuevas amenazas, el terrorismo y los ataques a la seguridad cibernética, y
comprometió a los Estados miembros a desarrollar una cultura de seguridad cibernética en las Américas con la adopción
Declaración sobre Seguridad en las
de medidas de prevención eficaces para prever, enfrentar y responder a los ataques cibernéticos, cualquiera fuera su
Américas de la OEA (México, 2003)
origen, luchando contra las amenazas y la delincuencia cibernética, tipificando los ataques contra el espacio
cibernético, protegiendo la infraestructura crítica y asegurando las redes de los sistemas.
80
Anexo E: Estimación del impacto económico de la adopción e implementación de la
política nacional de seguridad digital para Colombia
La CRC, con apoyo de la Dirección de Estudios Económicos del DNP, estimó de manera
preliminar el impacto económico de la adopción e implementación de la política nacional de
seguridad digital en Colombia desde el año 2015 al año 2020, mediante el uso de un
Modelo de Equilibrio General Computado (MEGC) dinámico.
Escenario base
El análisis parte de un escenario base que refleja la situación económica reciente (año
2015), la de los últimos cinco años (2010, 2011, 2012, 2013 y 2014), las estadísticas base
del año 2010 y unas previsiones de precios internacionales, de políticas monetaria y fiscal
para los años de proyección (2015-2020) considerados plausibles. Los demás escenarios
son comparados con el escenario base para identificar los cambios en las variables
económicas derivados de la política o políticas aplicadas en el escenario respectivo. Los
resultados se comparan en particular con relación al crecimiento del PIB nacional, valor
agregado, inflación al consumidor, inversión nacional privada y pública, y variables de
empleo nacional.
Supuestos
Desde el año 2012, los precios de las materias primas han venido disminuyendo, en
gran parte por la desaceleración de la economía de China, la recesión europea, y las
dificultades económicas en Estados Unidos y Japón, como consecuencia de diversas
circunstancias y de problemas económicos aún no resueltos derivados de la Gran recesión
2008-2009. Para los fines de la definición del escenario base, se consideró esa reducción
progresiva en los precios de las materias primas y un bajo crecimiento en los precios de los
bienes de capital, de las manufacturas intermedias y de consumo. Así mismo, se consideró
que la inversión extrajera (petróleo, minería, portafolio y otros), al igual que la remisión de
utilidades de las empresas multinacionales, disminuirán en el año 2015 y, posteriormente, se
estabilizaran en los niveles alcanzados en el 2015.
En cuanto a las condiciones locales del escenario base, se supuso que la inversión
colombiana en el exterior se mantendrá estable a partir del 2014, el préstamo neto privado
presentará un comportamiento estable, y la tasa de distribución de utilidades de las empresas
locales se mantendrá alrededor del 45,7. Por su lado, se consideró que el sector financiero
continuará manteniendo un comportam
encuentra el Banco de la República.
Con relación a la política tributaria, se consideró que las tasas de los impuestos
(efectivas, es decir descontando las exenciones) se mantendrían estables al nivel actual,
durante todos los años de la proyección: 10% a los salarios, 25% al capital, 25% a las
utilidades de las empresas, 16% al valor agregado y 1% al patrimonio (o impuesto a la
riqueza). Los aranceles a las importaciones se mantendría en su nivel actual según los
sectores: agricultura 4,1%, hidrocarburos 5,0%, minerales 5,0%, químicos 7,5%,
manufacturas intermedias 5,3%, manufacturas de consumo 6,9% y bienes de capital 5,6%.
En cuanto al gasto fiscal, se consideró un crecimiento anual del orden de 9%, con el
fin de suplir las pérdidas por inflación y un ajuste real cada año. Adicionalmente, a partir de
2014, se consideraron subsidios a la agricultura por un valor de 1,5 billones de pesos
anuales, y a partir de 2013, subsidios a la construcción de vivienda por 1,1 billones de
pesos. Para la inversión pública, se consideró un crecimiento anual de 10%. El modelo
incorpora también en el escenario base precios administrados para los sectores de servicios
públicos y servicios inmobiliarios, una práctica antigua en la economía colombiana, además
de permitir modelar cambios en los cargos de acceso de la telefonía móvil.
82
Por el lado monetario, se supuso que el Banco de la Republica tendrá su tasa de
referencia en 4% en el 2014 y la mantendrá en 4,75% para los años siguientes. Así mismo,
se consideró que acumularía reservas internacionales en montos que fluctuarían entre USD
3.000 y USD 6.000 millones de dólares.
Resultados
Para el escenario base, la tasa de crecimiento promedio anual entre 2010 y 2020, del
PIB que proyecta el modelo es de 4,35%. El resultado es acorde con la tendencia mostrada
por la economía colombiana durante los últimos años. Vale la pena aclarar que dada la alta
volatilidad de la economía internacional en los últimos años, la caída del precio del petróleo
y el aumento de la tasa de cambio, este crecimiento puede ser sobreestimado por el modelo,
ya que el periodo de pronóstico es bastante amplio y podría ocurrir algún choque externo,
generando una alteración en la tendencia de crecimiento que hasta el momento el MEGC no
tiene incorporado.
Para la inflación de precios al consumidor (IPC), el modelo proyecta una tasa promedio
de 5,17%, teniendo en cuenta las presiones inflacionarias a las que está expuesta la
economía nacional, superando las metas establecidas por Banco de la Republica (entre 2%
y 3% anual). Es importante mencionar que una inflación de alrededor del 5% no representa
una amenaza latente para la economía colombiana.
Supuestos
El segundo efecto en orden de magnitud sería sobre el sector bancario. Al tener una
mayor seguridad sobre las transacciones bancarias virtuales, se posibilita la
disminución de costos de transacción, tanto para el banco como para el agente que
realiza la transacción. Estos menores costos podrían incentivar la competencia
bancaria (vale la pena aclarar que este supuesto es válido para países que tengan altos
niveles de bancarización). El modelamiento de este fenómeno se verá reflejado en el
modelo mediante la reducción de la variable competencia monopolística bancaria.
84
que se vea materializado el riesgo. El modelamiento de este efecto será visto mediante
incrementos en la inversión pública y gasto del Gobierno nacional, es posible que esto
genere un efecto de multiplicador del gasto transmitido al crecimiento económico por
medio del aumento del consumo. Por otro lado, se debe tener en cuenta que el
incremento de la inversión pública, conlleva un efecto crowding out 42 de la inversión
privada y podría opacar el efecto inicial.
Se estimaron los dos escenarios posibles con cada uno de los agentes, y se procede a
realizar las comparaciones relativas de los mismos.
Resultados
Los resultados del escenario muestran mayores tasas de crecimiento del PIB nacional,
pasando de 4,35% en el escenario base a 4,44%, un incremento de 0,09 puntos
porcentuales en términos de crecimiento económico.
42
Efecto desplazamiento. Es una situación en la que la capacidad de inversión de las empresas se reduce debido
a la deuda pública.
85
mayor gasto público y la mayor inversión pública que el plan implica, son los responsables
del mayor crecimiento y ocupación.
Aunque el país ha tenido presiones inflacionarias por temas relacionados con tasa de
cambio y fenómenos naturales que impactan directamente a la economía, el tener una política
nacional de seguridad digital parece no tener efecto alguno sobre la canasta familiar.
Por último vale la pena destacar, que todos los resultados aquí contenidos son válidos
mientras se cumplan los supuestos anteriormente expuestos. Con el cambio de cualquier
supuesto los resultados del modelo podrían cambiar drásticamente.
86
GLOSARIO
Entorno digital: Ambiente, tanto físico como virtual sobre el cual se soporta la
economía digital. Siendo esta última la economía basada en tecnologías, cuyo
desarrollo y despliegue se produce en un ecosistema caracterizado por la creciente y
acelerada convergencia entre diversas tecnologías, que se concreta en redes de
comunicación, equipos de hardware, servicios de procesamiento y tecnologías web.
Entorno digital abierto: entorno digital en el que no se restringe el flujo de tecnologías,
de comunicaciones o de información, y en el que se asegura la provisión de los
servicios esenciales para los ciudadanos y para operar la infraestructura crítica.
Incidente digital: evento intencionado o no intencionado que puede cambiar el curso
esperado de una actividad en el entorno digital y que genera impactos sobre los
objetivos.
Resiliencia: es la capacidad de un material, mecanismo o sistema para recuperar su
estado inicial cuando ha cesado la perturbación a la que había estado sometido
Vulnerabilidad: Es una debilidad, atributo o falta de control que permitiría o facilitaría
la actuación de una amenaza contra información clasificada, los servicios y recursos
que la soportan.
88
BIBLIOGRAFÍA
COLOMBIA TIC. (2015). Boletín trimestral de las TIC Cifras Tercer Trimestre de 2015.
Departamento Nacional de Planeación. (2011). Lineamientos de política para
Ciberseguridad y Ciberdefensa. Documento CONPES 3701, Bogotá D.C., Colombia:
DNP. Recuperado de:
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf
INTEL SECURITY. (2015a). McAfee Labs Report 2016 Threats Predictions. Recuperado de:
www.mcafee.com/us/resources/reports/rp-threats-predictions-2016.pdf
INTEL SECURITY. (2015b). McAfee Labs Threats Report November 2015. Recuperado de:
http://www.mcafee.com/de/resources/reports/rp-quarterly-threats-nov-2015.pdf
INTEL SECURITY. (2015c). Critical Infrastructure Readiness Report - Holding the Line Against
Cyberthreats. McAfee Labs http://www.mcafee.com/us/resources/reports/rp-aspen-
holding-line-cyberthreats.pdf
ITI. (2011). Cybersecurity Principles for Industry and Government. Recuperado de:
https://www.itic.org/dotAsset/0e3b41c2-587a-48a8-b376-9cb493be36ec.pdf
89
Ministerio de Tecnologías de la Información y las Comunicaciones. (2015a). Informe de
gestión al Congreso de la República de Colombia 2015.
Ministerio de Tecnologías de la Información y las Comunicaciones. (2015b). Panorama TIC
Comportamiento macroeconómico del sector TIC en Colombia. Diciembre de 2015.
Recuperado de: http://colombiatic.mintic.gov.co/602/articles-
14305_panoranatic.pdf
OCDE. (2015b). OCDE Digital Economy Outlook 2015, OCDE Publishing, Paris, Francia.
Recuperado de: http://www.keepeek.com/Digital-Asset-Management/OCDE/science-
and-technology/OCDE-digital-economy-outlook-2015_9789264232440-en#page1
OTAN. (2012). National Cyber Security Framework Manual. Publicación para la OTAN.
Recuperado de:
http://www.ccdcoe.org/publications/books/NationalCyberSecurityFrameworkManu
al.pdf
SFC. (2015). Informe de Operaciones Primer Semestre de 2015. Delegatura para Riesgos
Operativos. Recuperado de:
https://www.superfinanciera.gov.co/descargas?com=institucional&name=pubFile1014571
&downloadname=informetransacciones0615.docx
90
SYMANTEC. (2015). Internet Security Threat Report ISTR 20. Volumen 20 de abril de 2015.
Recuperado de:
https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-
threat-report-volume-20-2015-social_v2.pdf
UIT. (2015). Measuring the Information Society Report 2015. Recuperado de:
http://www.itu.int/en/ITU-
D/Statistics/Documents/publications/misr2015/MISR2015-w5.pdf
91